CVE-2016-2537

Опубликовано: 23 фев. 2016

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

The is-my-json-valid package before 2.12.4 for Node.js has an incorrect exports['utc-millisec'] regular expression, which allows remote attackers to cause a denial of service (blocked event loop) via a crafted string.

Ссылки

https://github.com/mafintosh/is-my-json-valid/commit/eca4beb21e61877d76fdf6bea771f72f39544d9b
Patch
https://nodesecurity.io/advisories/76
https://github.com/mafintosh/is-my-json-valid/commit/eca4beb21e61877d76fdf6bea771f72f39544d9b
Patch
https://nodesecurity.io/advisories/76

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:is_my_json_valid_project:is_my_json_valid:*:*:*:*:*:node.js:*:*

Версия до 2.12.3 (включая)

EPSS

Процентиль: 65%

0.00499

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

GHSA-f522-ffg8-j8r6